Bitlocker Frage

[paluba]

Liebes Forum,

eine Frage: Was passiert, wenn ich ein Thinkpad voll verschlüssele, also alle Bios-Passwörter setze und zudem die SSD per Bitlocker mit MS Konto verschlüssele, und dann das Gerät stirbt. Kann ich zumindest meine Daten retten, indem ich die SSD ausbaue, in ein externes Gehäuse stecke und dann via Konto auf meinem anderen PC entschlüssele? Oder ist Bitlocker immer an die Hardware gebunden?

Kennt sich da jemand aus?

Danke!

 

[iks230]

Mit dem Wiederherstellungsschlüssel (48 Stellen lang), den du entweder selbst lokal oder im Microsoft-Konto speichern kannst, kannst du das Laufwerk auch an einem anderen Gerät entschlüsseln.

Mehr Infos:

Suchen des BitLocker-Wiederherstellungsschlüssels - Microsoft-Support

Erfahren Sie, wie Sie Ihren BitLocker-Wiederherstellungsschlüssel in Windows finden.

support.microsoft.com

https://support.lenovo.com/at/de/solutions/ht513710-how-to-view-the-bitlocker-recovery-key-on-the-official-microsoft-website

 

[Lufo]

Du stellst die Daten natürlich aus dem Backup wieder her, genauso wie du es machen würdest, wenn das Gerät geklaut wird oder die SSD defekt/zerstört wäre.

 

[StefanW.]

Du stellst die Daten natürlich aus dem Backup wieder her, genauso wie du es machen würdest, wenn das Gerät geklaut wird oder die SSD defekt/zerstört wäre.

Warum sollte er das tun, wenn die SSD noch 100% in Ordnung ist? Selbst bei täglichen Backups wurden in den meisten Fällen, seit dem letzten Backup, ein paar Dateien verändert.

 

[Mornsgrans]

voll verschlüssele, also alle Bios-Passwörter setze

Die Passwörter haben nichts mit der Verschlüsselung zu tun.
Bei einem Rechnertausch ohne zusätzlichen Zugang zum MS-Konto nützt der dort abgelegte Bitlocker-Wiederherstellungsschlüssel nichts, da man im Notfall keinen Zugang zum Internet hat, wenn die Eingabe des Wiederherstellungsschlüssels durchführen muss. Darum sollte man diesen auch lokal aufbewahren (USB-Stick, Ausdruck oder besser als Kopie auf dem Smartphone).

 

[elchmartin]

USB-Stick, Ausdruck oder besser als Kopie auf dem Smartphone

Ich bevorzuge den Ausdruck als ultimative Backup, liegt bei der nicht nebenan wohnenden Verwandtschaft.
Um schlimmsten Fall kann Tante Hetti das sogar übers Telefon vorlesen.

 

[disappearer]

Korrigiert mich bitte, aber wenn er das Lenovo FESTPLATTEN-Passwort im BIOS/Uefi nutzt (nicht Bitlocker) dann wird es nur via Einbau in ein anderes funktionierendes ThinkPad gehen, nicht über externes Gehäuse. So mein Verständnis

 

[ebastler]

UEFI SSD Password ist allgemein nicht wiederherstellbar außer du findest eine Sicherheitslücke in der SSD Firmware. Da liegt der Key der SSD so weit ich es verstanden habe im TPM des Notebooks. Ist das Notebook kaputt wars das (falls jemand gegensätzliche Informationen hat bitte sagen - bin da kein Experte).

Bitlocker kann man durch Einbau in einem anderen Rechner und den Recovery Key wiederherstellen. Aber nur wenn das SSD Passwort nicht gesetzt ist.

Sehe auch wenig Sinn drin die selbe SSD 2 mal zu verschlüsseln.

 

[disappearer]

Meines Wissens: Lenovo hat einen eigenen Algorithmus, um das Hardware-Passwort der SSD zu beschreiben. D.h. Ausbau und extern = keine Chance ABER Einbau in ein anderes ThinkPad sollte reichen, da nun wieder der gleiche Algorithmus zur Verfügung steht.
Vom TPM sollte es dabei unabhängig sein (sonst wäre ein TPM-clear auch gleich Festplatte genullt, also eher schlecht)

 

[Mornsgrans]

Jo, das SSD-Passwort ist in der Regel nicht eingebbar, wenn sie extern angeschlossen wird.
Ob es im TPM angelegt ist, wage ich zu bezweifeln, da es nutzlos bei einem Rechnertausch wäre. Schon zu PATA-Zeiten "wanderte" es mit der HDD in einen neuen Rechner mit.

 

[ShellSense]

Richtig, beim Thema Bitlocker wird der „Secret Key“ (Volume Master Key, kurz VMK) im TPM gespeichert.
Sollte sich das TPM Modul bzw die Hauptplatine ändern, muss ein neuer Secret Key durch Eingabe des Recovery Keys erstellt werden.

Vorsicht
Dadurch wird ein neuer VMK im neuen TPM gespeichert, was einen !neuen Recovery Key! zur Folge hat.

—-

Ich würde ebenfalls von „Verschlüsselungen“ wie SSD Passwort abraten, da Backup und Wiederherstellung im Falle der Fälle keinen Spaß machen (in diesem Bereich kenne ich mich auch ehrlich zu wenig aus)

 

[Mornsgrans]

Das SSD-Passwort hat nichts mit Verschlüsselung zu tun, sondern erlaubt lediglich den Zugriff auf das Laufwerk. Es soll lediglich bei Laufwerken mit hardwareseitiger Verschlüsselung diese durchführen.

 

[disappearer]

Richtig, beim Thema Bitlocker wird der „Secret Key“ (Volume Master Key, kurz VMK) im TPM gespeichert.
Sollte sich das TPM Modul bzw die Hauptplatine ändern, muss ein neuer Secret Key durch Eingabe des Recovery Keys erstellt werden.

Vorsicht
Dadurch wird ein neuer VMK im neuen TPM gespeichert, was einen !neuen Recovery Key! zur Folge hat.

Mit dem Wechsel der Hardware oder Löschung des TPM fehlt lediglich der Storage Root Key, das Volume kann auch ohne diesen entsperrt werden (mithilfe des 48-stelligen Wiederherstellungsschlüssels/"Recovery Key").

Nach Eingabe des Recovery Key wird ein Storage Root Key wieder im TPM abgelegt. Das ermöglicht mir, das Volume zu entsperren, ohne den 48-stelligen Schlüssel jedes Mal eingeben zu müssen.

Bitlocker – IT-Forensik Wiki

it-forensik.fiw.hs-wismar.de

Was du beschreibst, nennt sich Key Rotation und ist ein verfügbares, jedoch optionales Feature.
Das ging früher nur von zentraler Stelle, kann jedoch auch vom Endgerät selbst ausgelöst werden, wenn dieses über die Verwaltung mit Intune/Azure AD verbunden ist.
Szenario: Der User kann den Schlüssel selber abrufen (Voraussetzung: Zugang zum Unternehmens-Account). Dann kann er das Gerät selbst entsperren, ohne den Helpdesk anrufen zu müssen. Damit der User sich den Schlüssel nicht eingerahmt an die Wand hängt oder unter den Laptop klebt, wird er nun geändert und automatisch der neue Schlüssel in seinem Account gespeichert, sowie der neue Storage Root Key im TPM hinterlegt.